Я выступаю за свободный доступ к информации, в частности, за доступ к шаблонам документов по информационной безопасности, что позволяет значительно сократить время на поиск и разработку типовых документов и уделить больше времени процессам безопасности на практике.
Ниже представлен минимальный набор документов, необходимых для прохождения сертификации ISO/IEC 27001, а также даны ссылки на шаблоны и примеры этих документов.
При составлении данного перечня опирался на требования приложения А стандарта ISO 27007-2020 и рекомендации IT-Task . Шаблоны искал в знаменитых ISO27001 Toolkit от iso27001security , CertiKit , Advisera и аккаунте Андрея Прозорова на Patreon (автор постоянно пополняет свой «ISMS Implementation Toolkit» новыми шаблонами, рекомендациями и интеллект-картами).
Большинство документов гуглятся по запросу: «Название документа» (ext:pdf OR ext:docx OR ext:doc OR ext:xlsx OR ext:xls)
Номер пункта стандарта ISO 27001 | Варианты названий документов | Ссылка на шаблоны/примеры документов | |
русский | английский | ||
4.3 | Область действия СУИБ / Information Security Context, Requirements and Scope | - | |
5.2, 6.2 | Политика СУИБ/ Декларация ИБ/ Концепция ИБ/ ISMS Policy + Политика информационной безопасности / Information Security Policy | ||
5.3 | Положение о ролях / Положение об управлении ролями / Guideline for Roles & Responsibilities in Information Asset Management | ||
6.1.2, 6.1.3 | Процедура управления рисками ИБ/ Методика оценки рисков ИБ/ Методология оценки и обработки рисков / Risk Assessment and Treatment Process | ||
6.1.3 d) | Положение о применимости / Положение о применимости механизмов (мер) контроля/ Соглашение о применимости контролей / Декларация о применимости (Statement of Applicability, SoA) | ||
7.2 d) | Записи о степени подготовки, навыках, опыте и квалификации | - | - |
7.5.1 b) | Процедура управления документами / Процедура управления записями / Procedure for Document and Record Control | ||
8.2 | Отчет об оценке рисков ИБ / Risk Assessment Report | - | |
8.3 | План устранения рисков / План обработки рисков / Risk Treatment Plan | ||
9.1 | Мониторинг и измерение результатов / Политики контроля эффективности СУИБ / Logging and Monitoring Policy | - | |
9.2 g) | Программа внутреннего аудита / Порядок внутреннего аудита / Методика проведения оценки состояния системы управления информационной безопасностью / ISMS internal audit procedure/ Supplier Information Security Evaluation Process | ||
9.2 g) | Результаты внутренних аудитов / Internal Audit Report | ||
9.3 | Результаты анализа со стороны руководства / Management Review Minutes | - | |
10.1 | Порядок и устранение неисправностей / Несоответствия и корректирующие действия / Corrective Action Procedure / Procedure for the Management of Nonconformity | 1 * | |
10.1 | Результаты корректирующих действий | 1 * | |
A.8.1.1 | Реестр активов / Материально-технические ресурсы активов / Перечень ИС и сервисов / Guideline for Information Asset Valuation |
| |
A.8.1.3 | Политика допустимого (приемлемого) использования / Допустимое использование активов / Acceptable Use Policy | ||
A.9.1.1 | Политика управления доступом |
| |
A.12.1.1 | Процессы управления IT / Standard Operating Procedure / Security Procedures for IT Department | ||
A.12.4.1, A.12.4.3 | Журналы пользовательских действий, исключений и событий безопасности | - | - |
A.14.2.5 | Принципы разработки защищенной системы / Secure Development Policy + Principles for Engineering Secure Systems | - | |
A.15.1.1 | Политика безопасности поставщика / Стандарт информационной безопасности для поставщиков / Information Security Policy for Supplier Relationships | ||
A.16.1.5 | Процедура управления инцидентами / Инструкция по управлению инцидентами ИБ / Information Security Incident Response Procedure | ||
A.17.1.2 | Процедуры непрерывности бизнеса / Business Continuity Plan | ||
A.18.1.1 | Юридические, регулирующие договорные требования / Legal, Regulatory and Contractual Requirements | - |
Примечание: * - шаблоны не из сферы ИТ, но смысл понятен.
Другие шаблоны типовых документов по информационной безопасности можно скачать со следующих сайтов: SecurityPolicy.ru , SANS .
P.S. коллеги, если вы знаете, где еще можно найти шаблоны документов по СУИБ (СМИБ), пишите в комментариях, я добавлю.